[发明专利]基于云防护环境下网站木马后门检测方法及装置

说明书

本发明提供了一种基于云防护环境下网站木马后门检测方法及装置，涉及网络安全的技术领域，包括获取目标对象访问服务器时生成的缓存文件；采用模糊文件算法对缓存文件进行计算，得到缓存文件的得分值，其中，得分值用于表征目标对象是网站木马后者是木马后门的概率；基于得分值判断缓存文件是否为网页木马文件；在判断出是的情况下，则阻断目标对象访问服务器，并清除目标对象，本发明缓解了在采用传统的木马检查方法进行木马检查时存在的木马识别速度较慢，且木马识别准确度较差的技术问题。

技术领域

本发明涉及网络安全的技术领域，尤其是涉及一种基于云防护环境下网站木马后门检测方法及装置。

背景技术

在大数据环境下云环境的应用场景较为复杂，云技术应用也更为广泛，同时在云环境下用户文件，变多用户大量的文件以云技术保存在云环境平台上。那么同时攻击者利用云环境下文件变化大，文件变化快的特点构造木马后门，加密后门，编码webshell(网页后门)等方式众多，来绕过正常的杀毒软件检查，所以面对新的环境体系我们需要能够有一种新的检测方式来针对云环境下的文件快速检测木马后门，如何能快速有效的检测，以及方便安全管理人员对网页木马后门以及webshell的判断。

传统的杀毒软件基于文件特征扫描，而针对网页木马和webshell攻击者通常精通代码以及代码编码导致攻击者很容易通过修改编码结构，以及加密webshell来绕过杀毒软件查杀，所以很难针对webshell进行扫描检查。

而面对云环境下的网络结构，云上面保存的数据通常以文件本身较多，文件结构复杂，文件更新快。这些特点也造成了普通用户使用杀毒软件时，往往杀毒软件还没检查完成所有文件，可能云服务器的文件结构，文件内容已经开始了变化。

发明内容

有鉴于此，本发明的目的在于提供一种基于云防护环境下网站木马后门检测方法及装置，以缓解了在采用传统的木马检查方法进行木马检查时存在的木马识别速度较慢，且木马识别准确度较差的技术问题。

第一方面，本发明实施例提供了一种基于云防护环境下网站木马后门检测方法，包括：获取目标对象访问服务器时生成的缓存文件；采用模糊文件算法对所述缓存文件进行计算，得到所述缓存文件的得分值，其中，所述得分值用于表征所述目标对象是网站木马后者是木马后门的概率；基于所述得分值判断所述缓存文件是否为网页木马文件；在判断出是的情况下，则阻断所述目标对象访问所述服务器，并清除所述目标对象。

进一步地，采用模糊文件算法对所述缓存文件进行计算，得到所述缓存文件的得分值包括：获取预设规则文件，其中，所述预设规则文件中包括多个网页木马文件，以及每个网页木马文件的得分值；计算每个所述网页木马文件与所述缓存文件的相似值；将所述相似值作为所述缓存文件的得分值。

进一步地，基于所述得分值判断所述缓存文件是否为网页木马文件包括：在所述相似值大于预设阈值的情况下，确定所述缓存文件为所述网页木马文件。

进一步地，计算所述预设规则文件与所述缓存文件的相似值包括：获取所述预设规则文件中每个所述网页木马文件的模糊文件值；将所述模糊文件值进行还原，得到所述网页木马文件的原始数据平面图；将所述缓存文件的文件内容带入到所述原始数据平面图中，以计算所述缓存文件中与所述网页木马文件字符相同的个数；基于所述相同的个数计算所述相似值。

进一步地，基于所述相同的个数计算所述相似值包括：将所述相同的个数作为所述网页木马文件与所述缓存文件的相似值。

进一步地，所述方法还包括：获取网页木马文件的文件信息；将所述文件信息中的文件内容进行屏幕图形化展开处理，得到数据平面图；基于所述数据平面图将所述网页木马文件的文件内容转换为字符串；将所述字符串进行压缩，得到所述网页木马文件的模糊文件值。